Regel für Live-Daten ausführen

Unterstützt in:

Wenn Sie eine Regel erstellen, wird anfangs nicht basierend auf an Ihr Google Security Operations-Konto empfangene Ereignisse in Echtzeit. Sie legen jedoch die Regel, um in Echtzeit nach Erkennungen zu suchen, indem Sie die Ein/Aus-Schaltfläche Live-Regel festlegen aktiviert ist.

Führen Sie die folgenden Schritte aus, um eine Regel zu aktivieren:

  1. Rufen Sie das Dashboard für Regeln auf.

  2. Klicken Sie auf das Optionssymbol Regeln für eine Regel und aktivieren Sie die Live-Regel.

    Live-Regel

    Live-Regel

  3. Sie können sich die von einer Liveregel generierten Erkennungen ansehen, indem Sie Regelerkennungen ansehen auswählen.

Kontingent für Regeln

Klicken Sie auf die Schaltfläche „Kapazität“, um die Limits für die Anzahl der Regeln aufzurufen, die als „Live“ aktiviert werden können. Sie befindet sich oben rechts im Dashboard „Regeln“.

Für Google Security Operations gelten die folgenden Regelbeschränkungen:

  • Kontingent für Regeln für mehrere Ereignisse: Hier sehen Sie die aktuelle Anzahl der als „Live“ aktivierten Regeln für mehrere Ereignisse und die maximale Anzahl der Regeln, die als „Live“ aktiviert werden können. Weitere Informationen zum Unterschied zwischen Regeln für einzelne Ereignisse und mehrere Ereignisse
  • Gesamtkontingent für Regeln: Die aktuelle Gesamtzahl der Regeln, die für alle Regeltypen als „Live“ aktiviert sind, und die maximale Anzahl der Regeln, die als „Live“ aktiviert werden können.

Weitere Informationen zu den verschiedenen Regeltypen

Regelausführungen

Die Ausführung von Live-Regeln für einen bestimmten Ereigniszeit-Bucket wird mit abnehmender Häufigkeit ausgelöst. Es findet eine abschließende Bereinigungsausführung statt, nach der keine weitere Ausführung gestartet wird.

Bei jeder Ausführung werden die neuesten Versionen der in den Regeln verwendeten Referenzlisten und die letzte Anreicherung von Ereignis- und Entitätsdaten ausgeführt.

Dies bedeutet, dass einige Erkennungen nachträglich generiert werden können, wenn sie nur von den späteren Ausführungen erkannt werden. Bei der letzten Ausführung wurde beispielsweise die neueste Version der Referenzliste verwendet, mit der jetzt mehr Ereignisse erkannt werden. Außerdem können Ereignis- und Entitätsdaten aufgrund neuer Datenanreicherungen noch einmal verarbeitet werden.

Erkennungslatenzen

Wie lange es dauert, bis eine Erkennung anhand einer Live-Regel generiert wird, hängt von verschiedenen Faktoren ab. Die folgende Liste enthält die verschiedenen Faktoren, die zu Verzögerungen bei der Erkennung beitragen:

  • Regeltypen
  • Ausführungshäufigkeit
  • Verzögerung bei der Datenaufnahme
  • Kontextbezogene Joins
  • Angereicherte UDM-Daten
  • Probleme mit der Zeitzone
  • Referenzlisten

Regeltypen

  • Regeln für einzelne Ereignisse werden nahezu in Echtzeit per Streaming ausgeführt. Verwenden Sie nach Möglichkeit diese Regeln, um die Latenz zu minimieren.
  • Regeln für mehrere Ereignisse werden nach einem Zeitplan ausgeführt, was aufgrund der Zeit zwischen geplanten Ausführungen zu einer höheren Latenz führt.

Ausführungshäufigkeit

Um eine schnellere Erkennung zu erreichen, sollten Sie eine kürzere Ausführungshäufigkeit und ein kleineres Abgleichfenster verwenden. Die Verwendung kürzerer Abgleichfenster (unter einer Stunde) ermöglicht häufigere Ausführungen.

Verzögerung bei der Aufnahme

Achten Sie darauf, dass die Daten sofort an Google Security Operations gesendet werden. Achten Sie bei der Überprüfung einer Erkennung auf die UDM-Ereignis- und Datenaufnahmezeitstempel.

Kontextbezogene Joins

Bei Regeln mit mehreren Ereignissen, die kontextbezogene Daten wie UEBA oder den Entitätsgraphen enthalten, kann es zu längeren Verzögerungen kommen. Die Kontextdaten müssen zuerst von Google SecOps generiert werden.

Angereicherte UDM-Daten

In Google SecOps werden Ereignisse mit Daten aus anderen Ereignissen angereichert. In der Ereignisanzeige sehen Sie, ob eine Regel ein angereichertes Feld auswertet. Wenn die Regel ein angereichertes Feld auswertet, kann sich die Erkennung verzögern.

Probleme mit der Zeitzone

Regeln werden für Echtzeitdaten häufiger ausgeführt. Daten können in Echtzeit eingehen, aber Google SecOps behandelt sie möglicherweise trotzdem als spät ankommende Daten, wenn die Ereigniszeit aufgrund von Zeitzonenproblemen nicht korrekt ist. Die Standardzeitzone von Google SecOps SIEM ist UTC. Wenn in den Originaldaten ein Ereigniszeitstempel auf eine andere Zeitzone als UTC festgelegt ist, aktualisieren Sie die Datenzeitzone. Wenn die Zeitzone in der Logquelle nicht aktualisiert werden kann, wenden Sie sich an den Support, damit die Zeitzone überschrieben werden kann.

Nicht vorhandene Regeln

Regeln, die auf Nicht-Existenz geprüft werden, z. B. Regeln, die !$e oder #e=0 enthalten, werden mit einer Verzögerung von mindestens einer Stunde ausgeführt, damit die Daten ausreichend ankommen.

Referenzlisten

Bei Regelausführungen wird immer die aktuellste Version einer Referenzliste verwendet. Wenn die Referenzliste vor Kurzem aktualisiert wurde, wird eine neue Erkennung möglicherweise verzögert angezeigt, da sie bei späteren Ausführungen der geplanten Regel möglicherweise in neuen Inhalten der aktualisierten Liste enthalten ist.

Um die Erkennungslatenz zu verkürzen, empfehlen wir Folgendes:

  • Protokolldaten an Google Security Operations senden, sobald das Ereignis auftritt.
  • Prüfen Sie Regeln, um festzustellen, ob nicht vorhandene oder kontextangereicherte Daten verwendet werden müssen.
  • Konfigurieren Sie eine kleinere Ausführungshäufigkeit.

Regelstatus

Live-Regeln können einen der folgenden Status haben:

  • Aktiv: Die Regel ist aktiv und funktioniert normal als Liveregel.

  • Deaktiviert: Die Regel ist deaktiviert.

  • Eingeschränkt:Live-Regeln können diesen Status erhalten, wenn sie eine ungewöhnlich hohe Ressourcennutzung. Eingeschränkte Regeln sind von den anderen aktiven Regeln isoliert. im System, um die Stabilität von Google Security Operations aufrechtzuerhalten.

    Bei eingeschränkten Live-Regeln kann nicht garantiert werden, dass die Regeln erfolgreich ausgeführt werden. Wenn die Regelausführung jedoch erfolgreich ist, werden die erkannten Probleme beibehalten und können von Ihnen geprüft werden. Bei eingeschränkten Live-Regeln wird immer eine Fehlermeldung ausgegeben, die Informationen zur Leistungsverbesserung der Regel enthält.

    Wenn sich die Leistung einer eingeschränkten Regel innerhalb von drei Tagen nicht verbessert, wird der Status in Pausiert geändert.

  • Pausiert: Live-Regeln erhalten diesen Status, wenn sie drei Tage lang den Status Eingeschränkt hatten und keine Leistungsverbesserung erzielt haben. Ausführungen für diese Regel pausiert wurden, und Fehlermeldungen, die Informationen dazu enthalten, wie Sie die Leistung der Regel verbessern.

So setzen Sie eine Live-Regel auf den Status Aktiviert zurück: Best Practices für YARA-L, um um die Leistung der Regel zu verbessern, und speichern Sie sie. Nachdem die Regel gespeichert wurde, wird sie auf den Status Aktiviert zurückgesetzt. Es dauert mindestens eine Stunde, bis der Status wieder Eingeschränkt ist.

Sie können Leistungsprobleme mit einer Regel beheben, indem Sie sie konfigurieren weniger häufig ausgeführt werden. Sie können beispielsweise eine Regel so konfigurieren, dass sie nicht mehr alle 10 Minuten, sondern einmal pro Stunde oder einmal alle 24 Stunden ausgeführt wird. Wenn Sie die Ausführungshäufigkeit einer Regel ändern, wird ihr Status jedoch nicht wieder in Aktiviert geändert. Wenn Sie eine kleine Änderung an der Regel vornehmen und diese speichern, können Sie der Status Enabled (Aktiviert) automatisch zurückgesetzt wird.

Regelstatus werden im Regeldashboard angezeigt und sind ebenfalls verfügbar über die Detection Engine API. Fehler, die von Regeln mit dem Status Eingeschränkt oder Pausiert generiert wurden, sind über die API-Methode „ListErrors“ verfügbar. Im Fehler wird angegeben, dass die Regel den Status Eingeschränkt oder Pausiert hat. Außerdem wird eine Dokumentation zur Behebung des Problems verlinkt.